Vulnerabilidad Crítica en React Server Components
Un error crítico de ejecución remota de código (RCE) en React Server Components está siendo utilizado para secuestrar servidores, drenar billeteras de criptomonedas, plantar mineros de Monero y profundizar una ola de robos que ha alcanzado los 3 mil millones de dólares en 2025, a pesar de las urgentes súplicas de parches. Esta vulnerabilidad ha provocado advertencias urgentes en toda la industria de criptomonedas, ya que actores maliciosos explotan la falla para drenar billeteras y desplegar malware, según Security Alliance.
Detalles de la Vulnerabilidad
Security Alliance anunció que los drena-billeteras de criptomonedas están armando activamente CVE-2025-55182, instando a todos los sitios web a revisar su código de front-end de inmediato en busca de activos sospechosos. La vulnerabilidad afecta no solo a los protocolos Web3, sino a todos los sitios web que utilizan React, con atacantes apuntando a firmas de permisos en todas las plataformas. Los usuarios enfrentan riesgos al firmar transacciones, ya que el código malicioso intercepta las comunicaciones de la billetera y redirige fondos a direcciones controladas por los atacantes, según investigadores de seguridad.
Divulgación y Parches
El equipo oficial de React divulgó CVE-2025-55182 el 3 de diciembre, calificándolo con un CVSS de 10.0 tras el informe de Lachlan Davidson del 29 de noviembre a través de Meta Bug Bounty. La vulnerabilidad de ejecución remota de código no autenticada explota cómo React decodifica las cargas útiles enviadas a los puntos finales de Server Function, permitiendo a los atacantes elaborar solicitudes HTTP maliciosas que ejecutan código arbitrario en los servidores. La falla afecta a las versiones de React 19.0, 19.1.0, 19.1.1 y 19.2.0 en los paquetes react-server-dom-webpack, react-server-dom-parcel y react-server-dom-turbopack. Los principales frameworks, incluidos Next.js, React Router, Waku y Expo, requieren actualizaciones inmediatas.
Impacto de los Ataques
Los parches llegaron en las versiones 19.0.1, 19.1.2 y 19.2.1, con los usuarios de Next.js necesitando actualizaciones a través de múltiples líneas de lanzamiento desde 14.2.35 hasta 16.0.10. Investigadores han encontrado dos nuevas vulnerabilidades en React Server Components mientras intentaban explotar los parches. Estos son nuevos problemas, separados de la crítica CVE. El parche para React2Shell sigue siendo efectivo para la explotación de ejecución remota de código.
Medidas de Protección
Vercel implementó reglas de Firewall de Aplicaciones Web para proteger automáticamente los proyectos en su plataforma, aunque la compañía enfatizó que la protección WAF por sí sola sigue siendo insuficiente. Se requieren actualizaciones inmediatas a una versión parcheada, afirmó Vercel en su boletín de seguridad del 3 de diciembre, añadiendo que la vulnerabilidad afecta a aplicaciones que procesan entradas no confiables de maneras que permiten la ejecución remota de código.
Actividades del Crimen Organizado
El Grupo de Inteligencia de Amenazas de Google documentó ataques generalizados que comenzaron el 3 de diciembre, rastreando grupos criminales que van desde hackers oportunistas hasta operaciones respaldadas por gobiernos. Grupos de hackers chinos instalaron varios tipos de malware en sistemas comprometidos, apuntando principalmente a servidores en la nube de Amazon Web Services y Alibaba Cloud. Estos atacantes emplearon técnicas para mantener acceso a largo plazo a los sistemas de las víctimas.
Consecuencias Financieras
Criminales motivados financieramente se unieron a la ola de ataques a partir del 5 de diciembre, instalando software de minería de criptomonedas que utiliza la potencia de cómputo de las víctimas para generar Monero. Estos mineros funcionan constantemente en segundo plano, aumentando los costos de electricidad mientras generan ganancias para los atacantes. Los foros de hacking subterráneo se llenaron rápidamente de discusiones compartiendo herramientas de ataque y experiencias de explotación.
Recomendaciones de Seguridad
Se aconseja a las organizaciones que utilizan React o Next.js que parchen de inmediato a las versiones 19.0.1, 19.1.2 o 19.2.1, implementen reglas WAF, auditen todas las dependencias, monitoreen el tráfico de red en busca de comandos wget o cURL iniciados por procesos del servidor web, y busquen directorios ocultos no autorizados o inyecciones de configuración de shell maliciosas.
